Kaspersky Lab

 
Country selectionNews ArticleNews ArticleNews ArticleNews ArticleNews Article

Notícias

01.03.2012

Códigos PIN do Google Wallet sob ataque

Atenção às vulnerabilidades do sistema de pagamentos

Sempre que alguém adiciona os dados de um cartão de crédito a uma plataforma online, esta passa a ter muito mais interesse para os cibercriminosos

 

Códigos PIN do Google Wallet sob ataque

 

Sempre que alguém adiciona os dados de um cartão de crédito a uma plataforma online, esta passa a ter muito mais interesse para os cibercriminosos

 

Lisboa, 24 de Fevereiro de 2012. Há algumas semanas, foram detectadas vulnerabilidades no Google Wallet, um sistema de pagamento móvel desenvolvido pela Google que permite aos seus utilizadores guardar os dados dos seus cartões de crédito, cartões de fidelização e cartões de presente, promoções de vendas, entre outras coisas, no seu telemóvel. O incidente de segurança afectava os cartões de pré-pagamento do serviço e a segurança do código PIN dos terminais.

 

Tim Armstrong, analista da Kaspersky Lab, conta como “a Zvelo encontrou a primeira vulnerabilidade no sistema, que requeria acesso root. Os métodos usados para fazer ‘rooting’ hoje em dia tornaram-se mais simples com o aparecimento das chamadas aplicações “one-click root” para a maioria das plataformas. O objectivo da vulnerabilidade era forçar a apresentação do PIN”.

 

No dia seguinte, foi descoberta uma nova vulnerabilidade na forma como a aplicação Wallet administra os dados da aplicação. Desta feita, a descoberta foi da Thesmartphonechamp, que demonstrou que neste caso não era obrigatório ter acesso root porque a vulnerabilidade está na forma como funciona a aplicação. O utilizador, munido de um cartão Google Prepaid, pode navegar pela interface de administração da aplicação e eliminar os dados da aplicação para o Google Wallet. Ao regressar à interface da aplicação, pede-se ao utilizador que escolha um novo PIN. A vulnerabilidade consiste em que os dados do Google Prepaid permanecem no sistema. Após definir um novo número PIN, o atacante pode utilizar o cartão pré-pago como se fosse seu.

 

Tim Armstrong acredita que, “sempre que os dados de um cartão de crédito são adicionados a determinada uma plataforma, o interesse dos cibercriminosos cresce de imediato. Já temos visto malware bancário para Android e, quando o Google Wallet se tornar omnipresente em todos os dispositivos Android, é muito provável que apareçam muitas mais ameaças deste tipo”.

 

Este poderá, por isso, ser apenas o princípio de uma onda de vulnerabilidades detectadas no Google Wallet, sobretudo tendo em conta o apoio financeiro que esta iniciativa recolheu de empresas como a Mastercard e a Citi, dois dos inúmeros parceiros que a Google conseguiu angariar para esta sua iniciativa.

 

Terão estes ataques aos números PIN a capacidade de acabar com o Google Wallet? Seguramente que não. Estamos agora a entrar numa fase de transição em que a caixa registradora passa da loja para o nosso bolso. E ainda que a tecnologia Secure Element ofereça muita segurança na codificação dos dados dos utilizadores, se a sua interface pode ser derrotada todos seus esforços matemáticos terão sido em vão.

 

Para aceder ao blog da Kaspersky, onde esta análise se encontra, aceda a: http://www.securelist.com/en/blog/208193389/Will_the_PIN_hacks_be_the_end_of_Google_Wallet

Photo


  • PNG

Contacto para a imprensa

Ana Paula

Enviar e-mail
Tel. +351-(0)243 352 462 

Fax +351-(0)243 322 338 

Download Documents

Kaspersky Lab na Web

Blogues dos Analistas de Vírus